Contract
Detta tillägg om Ivantis databehandling (”databehandlingstillägget”) utgör en del av Ivantis licensavtal för slutanvändare och tjänsteavtal (”avtalet”) och upprättas och ingås på sista underskriftsdatumet nedan (”ikraftträdandedatumet”) av och mellan den kund som identifieras nedan eller i avtalet (den ”personuppgiftsansvarige”) och tillämplig Ivanti-enhet som identifieras i detta databehandlingsavtal (”Ivanti” eller ”personuppgiftsbiträdet”) (enskilt benämnda en ”part” och gemensamt ”parterna”). Eventuella termer som inte definieras här ska ha samma innebörd som respektive term ges i avtalet.
INGRESS
Parterna har ingått detta avtal.
I samband med att personuppgiftsbiträdets tillhandahåller tjänsterna till den personuppgiftsansvarige enligt avtalet äger biträdet rätt att behandla personuppgifter för den personuppgiftsansvariges räkning.
För att se till att adekvata skyddsåtgärder vidtas med hänsyn till behandlingen av personuppgifter som den personuppgiftsansvarige tillhandahåller till personuppgiftsbiträdet förbinder sig parterna att följa bestämmelserna som rör personuppgifter och handla rimligt och i god tro.
Med hänsyn till ovanstående förutsättningar och de ömsesidiga löften och förbindelser som läggs fram nedan enas den personuppgiftsansvarige och personuppgiftsbiträdet därför nu om följande:
AVTAL
1. DEFINITIONER
Alla termer som inte definieras här ska ha den innebörd som de ges i avtalet.
”Närstående bolag” avser alla juridiska personer som – direkt eller indirekt – kontrollerar, kontrolleras av eller står under gemensam kontroll tillsammans med avtalsparten. För denna definitions syften avser ”kontroll” direkt eller indirekt innehav av mer än 50 % av rösträtten i avtalsparten.
”Tillämpliga dataskyddslagar” avser alla tillämpliga lagar, förordningar, tillsynsriktlinjer eller krav i en jurisdiktion som rör dataskydd, integritet eller konfidentialitet för personuppgifter, inklusive (men inte begränsat till)
a) den allmänna dataskyddsförordningen tillsammans med eventuell övergångs-, genomförande- eller tilläggslagstiftning och b) Kaliforniens konsumentintegritetslag (CCPA).
”Auktoriserat närstående bolag” avser till den personuppgiftsansvarige närstående bolag, vilka a) omfattas av de dataskyddslagar och -förordningar som gäller i det Europeiska ekonomiska samarbetsområdet (EES) och/eller dess medlemsstater, Schweiz, Storbritannien och Nordirland; b) omfattas av dataskyddslagar och -förordningar utanför EES-området och/eller dess medlemsstater, Schweiz, Storbritannien och Nordirland (enligt vad som är tillämpligt) samt c) tillåts använda personuppgiftsbiträdet för databehandling i enlighet med avtalet.
”CCPA” avser Kaliforniens konsumentintegritetslag (Consumer Privacy Act, Cal. Civ. Code § 1798.100 inklusive senare tillägg och dess genomförandebestämmelser).
”Personuppgiftsansvarig” avser den juridiska person som fastställer syftet med och medlen för behandling av personuppgifter. För undanröjande av tvivel uppfyller den part som identifieras som personuppgiftsansvarig ovan denna funktion enligt detta databehandlingstillägg.
”Dataintrång” avser ett säkerhetsintrång som leder till oavsiktlig(t), obehörig(t) eller olaglig(t) destruktion, förlust, avslöjande av, åtkomst till eller annan behandling av personuppgifter som överförs, lagras eller behandlas på annat sätt.
”Dataskyddsmyndighet” avser alla representanter eller ombud för en myndighet eller ett organ med befogenhet att upprätthålla tillämpliga dataskyddslagar.
”Registrerad” avser den fysiska person som personuppgifterna rör.
”Den allmänna dataskyddsförordningen” (eller GDPR) avser EU-parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer vid behandling av personuppgifter och den fria rörligheten för sådana uppgifter samt återkallandet av direktiv 95/46/EG.
”Ivanti” avser den nedan identifierade juridiska person som är baserad i samma geografiska region som kunden:
- Ivanti, Inc., ett bolag inregistrerat i Delaware, USA, i Nord- och Sydamerika med undantag för Brasilien.
- Ivanti Comércio de Software Brasil Ltda, ett brasilianskt bolag, i Brasilien.
- Ivanti Software K.K., ett japanskt bolag, i Japan.
- Ivanti Software Technology (Beijing) Co., Ltd., ett kinesiskt bolag, i Kina.
- Ivanti International Limited, ett irländskt bolag, för Wavelink- och Naurtech-märkta produkter och tjänster i Europa, Mellanöstern, Afrika och Asien och Stillahavsregionen.
- Ivanti UK Limited, ett aktiebolag inregistrerat i England och Wales, för övriga platser.
”Personuppgifter” avser alla uppgifter som direkt eller indirekt identifierar, rör, beskriver, kan förknippas med eller på rimligt sätt kopplas till en identifierad eller identifierbar fysisk person eller ett enskilt hushåll. En identifierbar fysisk person är någon som direkt eller indirekt kan identifieras, i synnerhet genom hänvisning till en identifierare som ett namn, ett id-nummer, platsdata, ett online-id eller en eller flera faktorer som är specifika för ifrågavarande fysiska persons fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.
”Process” avser alla åtgärder eller uppsättningar av åtgärder som utförs på personuppgifterna genom eller i samband med, och i syfte att tillhandahålla, tjänsterna – oavsett om det sker på automatisk väg eller ej – t.ex. insamling; registrering; organisation; lagring; anpassning eller ändring; hämtning; kontroll; användning; yppande genom överföring, spridning eller tillgängliggörande på annat sätt; sammanställning eller sammanslagning; blockering; radering eller destruktion samt så som detta definieras i tillämpliga dataskyddslagar.
”Personuppgiftsbiträde” avser den juridiska person som behandlar personuppgifter för den personuppgiftsansvariges räkning. För undanröjande av tvivel uppfyller den part som identifieras som personuppgiftsbiträde ovan denna funktion enligt detta databehandlingstillägg.
”Tjänster” avser behandling av personuppgifter av personuppgiftsbiträdet i samband med, och i syfte att tillhandahålla, de tjänster som tillhandahålls i enlighet med avtalet.
”Tjänsteleverantör” avser enskild firma, handelsbolag, privat eller börsnoterat aktiebolag, intresseföretag eller annan juridisk person som organiseras eller drivs i vinstsyfte eller för att skapa ekonomisk avkastning till dess aktieägare eller andra ägare som behandlar information för den personuppgiftsansvariges räkning och för vilken den personuppgiftsansvarige lämnar ut registrerades personuppgifter i verksamhetssyfte i enlighet med ett skriftligt avtal, förutsatt att avtalet förbjuder tjänsteleverantörer att arkivera, använda eller lämna ut personuppgifter för andra syften än det specifika syftet att utföra de tjänster som anges i avtalet, eller i övrigt tillåts enligt CCPA, inklusive arkivering, användning eller utlämnande av personuppgifter i andra kommersiella syften än att tillhandahålla de tjänster som anges i avtalet med den personuppgiftsansvarige. Termerna ”verksamhetssyfte” och ”kommersiellt syfte” har samma innebörd som i CCPA. För undanröjande av tvivel är ett personuppgiftsbiträde en tjänsteleverantör.
”Underentreprenör” avser juridiska personer som behandlar personuppgifter för personuppgiftsbiträdets räkning.
2. BEHANDLING AV PERSONUPPGIFTER
2.1 Parternas respektive roller. Parterna godtar och är införstådda med sina roller som personuppgiftsansvarig respektive personuppgiftsbiträde eller tjänsteleverantör enligt ovan. Innehållet, varaktigheten och syftet med behandlingen och de typer av personuppgifter och kategorier av registrerade som behandlas enligt detta databehandlingstillägg beskrivs mer ingående i tillägg 1.
2.2 Den personuppgiftsansvariges förpliktelser. Den personuppgiftsansvariges instruktioner för behandling av personuppgifter ska överensstämma med dataskyddslagar och -förordningar. Den personuppgiftsansvarige ansvarar ensam för att personuppgifternas korrekthet, kvalitet och lagenlighet såväl som de medel genom vilka den personuppgiftsansvarige inhämtar personuppgifter och tillhandahåller dem till personuppgiftsbiträdet.
2.3 Personuppgiftsbiträdets förpliktelser. Alla personuppgifter som behandlas av personuppgiftsbiträdet enligt avtalet utgör konfidentiell information och ska endast behandlas i enlighet med den personuppgiftsansvariges dokumenterade instruktioner som framläggs i tillägg 1 eller på annat sätt tillhandahålls i skriftlig form av den personuppgiftsansvarige. Personuppgiftsbiträdet får inte sälja de personuppgifter som behandlas inom ramen för det här databehandlingstillägget och inte heller arkivera, använda eller yppa personuppgifter utanför den direkta affärsrelationen mellan personuppgiftsbiträdet och den personuppgiftsansvarige. Personuppgiftsbiträdet ska följa alla tillämpliga dataskyddslagar med hänsyn till behandlingen av personuppgifter. Personuppgiftsbiträdet får inte kombinera personuppgifter som tillhandahålls av den personuppgiftsansvarige med personuppgifter som den får från andra källor. I de fall där personuppgiftsbiträdet anser att efterlevnad av den personuppgiftsansvariges instruktioner skulle resultera i överträdelser av tillämpliga dataskyddslagstiftning ska personuppgiftsbiträdet utan dröjsmål
informera den personuppgiftsansvarige skriftligen om det. Personuppgiftsbiträdet ska tillgängliggöra all information för den personuppgiftsansvarige för att demonstrera efterlevnad av dess förpliktelser enligt detta databehandlingstillägg.
2.3.1. Assistansbehov. Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige med efterlevnad av tillämpliga dataskyddslagar; misstänkta och faktiska dataintrång; anmälan till eller förfrågningar från dataskyddsmyndigheter; meddelande till eller förfrågningar från registrerade samt den personuppgiftsansvariges skyldighet att utföra konsekvensbedömningar med avseende på dataskydd och samråd (före behandling) med dataskyddsmyndigheter.
3. ANMÄLNINGSSKYLDIGHET
3.1 Personuppgiftsbiträdets anmälningsskyldighet. Personuppgiftsbiträdet ska omgående underrätta den personuppgiftsansvarige skriftligen om följande:
3.1.1 En begäran från en registrerad att få utöva sina integritetsrättigheter med hänsyn till sina personuppgifter (t.ex. tillgång, korrigering, radering, transport samt invändningar mot och restriktioner för behandling).
3.1.2 Begäran eller klagomål från den personuppgiftsansvariges kunder eller anställda.
3.1.3 Fråga, klagomål, undersökning eller annan förfrågan från en dataskyddsmyndighet.
3.1.4 Begäran om yppande av personuppgifter som på något sätt är förknippade med personuppgiftsbiträdets behandling av personuppgifter enligt detta databehandlingstillägg.
3.1.5 Vid dataintrång i enlighet med anmälningsskyldigheten i punkt 7.1.
3.1.6 Fall där personuppgifter i samband med behandling blir föremål för husrannsakan, beslut om kvarstad, konfiskering i samband med konkurs- eller obeståndsförfarande, eller liknande händelser eller åtgärder av tredje part.
Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att uppfylla den sistnämndes skyldighet att besvara förfrågningar som rör punkt 3.1.1–3.1.6 ovan och ska inte besvara sådana förfrågningar utan den personuppgiftsansvariges föregående skriftligt samtycke såvida inte personuppgiftsbiträdet är skyldigt att svara enligt lag.
4. KONFIDENTIALITET
4.1 Konfidentiell information. Alla uppgifter som personuppgiftsbiträdet tillhandahålls enligt detta avtal är konfidentiell information.
4.2 Personuppgiftsbiträdets personal. Personuppgiftsbiträdet ska se till att dess personal som är involverade i behandlingen av personuppgifter informeras om att de är konfidentiella, har fått lämplig utbildning om deras ansvarsområden och har ingått skriftliga avtal om tystnadsplikt. Personuppgiftsbiträdet ska se till att denna tystnadsplikt fortlever utlöpandet av dessa individers respektive anställningsrelation.
4.3 Begränsning av åtkomst. Personuppgiftsbiträdet ska se till att åtkomsten till personuppgifterna begränsas till den personal som utför tjänsterna i enlighet med avtalet.
5. UNDERENTREPRENÖR
5.1 Anlitande av underentreprenörer. Den personuppgiftsansvarige godtar och är införstådd med att personuppgiftsbiträdet och dessa närstående bolag kan anlita underentreprenörer i samband med tillhandahållandet av tjänsterna. Personuppgiftsbiträdet eller dess närstående bolag ska ingå skriftliga avtal med varje underentreprenör som innehåller förpliktelser i fråga om dataskydd som inte ger mindre skydd än de som anges i detta databehandlingstillägg i den utsträckning det är tillämpligt på de tjänster som respektive underentreprenör tillhandahåller. Den personuppgiftsansvarige ger härmed personuppgiftsbiträdet befogenhet att anlita de underentreprenörer som står med på den aktuella förteckningen på xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx- subprocessors för behandling av personuppgifter i enlighet med detta databehandlingstillägg. Den personuppgiftsansvarige ska inte kommunicera direkt med personuppgiftsbiträdets underentreprenörer om tjänsterna, såvida inte personuppgiftsbiträdet helt efter eget gottfinnande samtyckt till det.
5.2 Underrättelse om byte av underentreprenörer. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om alla tilltänkta ändringar som rör tillägg eller utbyte av underentreprenörer genom att förse den personuppgiftsansvarige med en prenumerationsmekanism för underrättelse om nya underentreprenörer på
xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om alla tilltänkta ändringar som rör tillägg eller byte av underentreprenörer innan deras tjänster tas i anspråk.
5.3 Rätten att resa invändningar mot nya underentreprenörer. Den personuppgiftsansvarige kan skäligen resa invändningar mot personuppgiftsbiträdets användning av en ny underentreprenör genom att utan dröjsmål underrätta personuppgiftsbiträdet skriftligen inom femton (15) arbetsdagar efter mottagandet av underrättelsen från personuppgiftsbiträdet. I händelse av att den personuppgiftsansvarige reser invändningar mot en ny underentreprenör ska personuppgiftsbiträdet vidta rimliga ansträngningar för att utarbeta en ändring av tjänsterna för att undvika att personuppgifter behandlas av den nya underentreprenören som är föremål för invändningen. Om personuppgiftsbiträdet inte kan lägga fram en sådan ändring äger den personuppgiftsansvarige rätt att säga upp tillämpligt avtal med avseende på de tjänster som personuppgiftsbiträdet inte kan tillhandahålla utan att använda sig av den nya underentreprenör som är föremål för invändningen.
5.4 Ersättningsansvar för underentreprenörers handlingar. Personuppgiftsbiträdet är ansvarig för dess underentreprenörers handlingar och förbiseenden i samma utsträckning som personuppgiftsbiträdet skulle vara ersättningsskyldig om det på egen hand utförde de tjänster som respektive underentreprenör tillhandahåller enligt detta databehandlingstillägg.
6. SKYDD OCH SÄKERHET
6.1 Skydd för personuppgifter. Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna (inklusive att skydda personuppgifterna mot obehörig eller olaglig behandling; oavsiktlig eller olaglig destruktion, förlust eller ändring eller skada eller obehörig[t] yppande eller tillgång) samt bevara deras konfidentialitet och integritet.
6.2 Rätt till revision. Den personuppgiftsansvarige godtar att dess rätt till revision av personuppgiftsbiträdet kan fullgöras genom att biträdet redovisar uppdaterade intyg, rapporter eller utdrag från oberoende organ, inklusive (utan begränsning) externa eller interna revisorer, personuppgiftsbiträdets dataskyddsombud, IT-säkerhetsavdelningen, dataskydds- eller -kvalitetsrevisorer eller andra gemensamt överenskomna tredje parter eller certifiering i form av en IT-säkerhets- eller dataskyddsrevision. I den utsträckning det inte är möjligt att fullgöra en revisionsförpliktelse som krävs enligt tillämpliga dataskyddslagar och -förordningar genom sådana bestyrkanden, rapporter eller utdrag äger den personuppgiftsansvarige – eller av denne utsett ombud – rätt att utföra revision och inspektion (på den personuppgiftsansvariges bekostnad) av personuppgiftsbiträdets lokaler, policyer, rutiner och datoriserade system för att kontrollera att biträdet efterlever kraven i detta databehandlingstillägg. Den personuppgiftsansvarige, eller av denne utsett ombud, ska ge minst trettio (30) dagars varsel om revisionen, såvida inte ifrågavarande revision krävs på grund av ett dataintrång som involverar personuppgiftsbiträdet. Revisioner av den personuppgiftsansvarige eller av denne utsett ombud bryter inte mot personuppgiftsbiträdets tystnadsplikt gentemot biträdets andra kunder. Alla revisioner ska utföras under normal kontorstid på personuppgiftsbiträdets huvudsakliga verksamhetsställe eller andra platser där personuppgifter hanteras, behandlas eller administreras och ska inte på ett orimligt sätt störa personuppgiftsbiträdets dagliga verksamhet. Innan en sådan revision inleds ska personuppgiftsbiträdet och den personuppgiftsansvarige gemensamt komma överens om tidpunkt, varaktighet och omfattning för revisionen. Den personuppgiftsansvarige får begära en sammanfattande revisionsrapport eller utföra revision av personuppgiftsbiträdet högst en gång per år.
7. DATAINTRÅNG
7.1 Meddelande om dataintrång Personuppgiftsbiträdet ska skriftligen underrätta den personuppgiftsansvarige om misstänkta dataintrång utan onödigt dröjsmål efter att de blivit medvetna om dem. Under inga omständigheter ska en sådan underrättelse ska senare än 72 timmar efter att personuppgiftsbiträdet har upptäckt dataintrånget.
7.2 Hantering av dataintrång. Personuppgiftsbiträdet ska genom rimliga ansträngningar försöka identifiera orsaken till dataintrång och vidta de åtgärder som man behöver nödvändiga och skäliga för att åtgärda den, i den utsträckning sådana avhjälpande åtgärder ligger inom personuppgiftsbiträdets rimliga kontroll.
8. AVTALETS UPPSÄGANDE ELLER UTLÖPANDE
8.1 Avtalets uppsägande eller utlöpande. Detta databehandlingstillägg upphör automatiskt att gälla vid a) avtalets uppsägande eller utlöpande eller b) personuppgiftsbiträdets radering eller återlämnande av personuppgifterna, beroende på vilket som inträffar senare. Den personuppgiftsansvarige äger vidare rätt att säga upp detta behandlingstillägg på saklig grund om personuppgiftsbiträdet, enligt den personuppgiftsansvariges egen uppfattning, på ett väsentligt sätt eller upprepade gånger brutit mot detta behandlingstillägg vilket, i händelse av brott som kan
gottgöras, inte har gottgjorts inom tio (10) dagar från det datum då personuppgiftsbiträdet mottagit ett meddelande från den personuppgiftsansvarige där brottet identifieras och gottgörelse för det begärs.
8.2 Återlämnande eller radering av data. Vid uppsägning eller utlöpande av detta databehandlingstillägg ska personuppgiftsbiträdet radera eller lämna tillbaka alla befintliga kopior av personuppgifterna, såvida inte fortsatt arkivering av dem krävs enligt tillämplig lag. På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet skriftliga bekräfta att sådana förpliktelser efterlevts och radera alla befintliga kopior. I händelse av att personuppgiftsbiträdet enligt lokal lagstiftning är skyldig att arkivera personuppgifter ska biträdet skydda deras konfidentialitet, integritet och tillgång, inte aktivt behandla personuppgifter samt fortsätta lyda villkoren i detta databehandlingstillägg.
9. MEKANISMER FÖR INTERNATIONELL ÖVERFÖRING
9.1 Överföringar utanför EU. Medan tjänsterna tillhandahålls i enlighet med databehandlingstillägget kan det bli nödvändigt för den personuppgiftsansvarige att överföra personuppgifter från EU, EES-området och/eller deras medlemsstater, Schweiz eller Storbritannien till ett personuppgiftsbiträde i ett land för vilket EU-kommissionen inte har fastslagit att skyddsnivån är adekvat eller ett land utanför EES-området.
9.1.1 I fråga om personuppgifter som omfattas av den allmänna dataskyddsförordningen i) utgör personuppgiftsbiträdet ”dataimportören” och den personuppgiftsansvarige ”dataexportör”; ii) gäller villkoren för modul II enligt vilka den personuppgiftsansvarige är en personuppgiftsansvarig och personuppgiftsbiträdet ett personuppgiftsbiträde; iii) ska ska den valfria dockningsparagrafen i paragraf 7 raderas; iv) ska alternativ 2 i paragraf 9 i modul II gälla och listan över underleverantörer samt tidsrymden för varsel om ändringar var den överenskomna i avsnitt 5 av detta databehandlingstillägg; v) ska i paragraf 11 det frivilliga språket tas bort; vi) ska paragraf 17, alternativ 1 gälla och standardavtalsbestämmelserna vara underkastade jurisdiktionen i den medlemsstat där den personuppgiftsansvarige har sin hemvist; vii) ska tvister enligt paragraf 18b lösas i domstol i den medlemsstat där den personuppgiftsansvarige har sin hemvist; viii) ska bilaga I respektive II anses vara ifyllda med de uppgifter som anges i tillägg 1 av detta databehandlingstillägg samt ix) ska för den händelse att, och i den utsträckning som, standardavtalsbestämmelserna står i strid med villkor i avtalet (inklusive detta databehandlingstillägg) standardavtalsbestämmelserna ges tolkningsföreträde. För detta avsnitt inlemmas standardavtalsbestämmelserna från kommissionens genomförandebeslut (EU) 2021/914 genom hänvisning och står att läsa här: xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx- protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
9.1.2. I fråga om personuppgifter som omfattas av dataskyddslagar i Storbritannien gäller det internationella dataöverföringsavtalet (”IDÖA”) med följande ändringar: i) Kontaktuppgifterna om parterna i avtalet är kontaktuppgifterna för IDÖA. ii) Den personuppgiftsansvarige utgör dataexportören och personuppgiftsbiträdet dataimportören. iii) De lagar som reglerar IDÖA och den plats där juridiska anspråk kan resas är England och Wales. iv) Storbritanniens allmänna dataskyddsförordning är inte tillämplig på dataimportörens behandling av överförda data. v) Parterna använder inte de ytterligare säkerhetsbestämmelser eller kommersiella bestämmelserna från IDÖA. vi) Informationen i detta databehandlingsavtal och tillägg 1 kan användas för tabell 1–4. För detta avsnitt inlemmas standardavtalsbestämmelserna från brittiska informationskommissionärsbyrån (Information Commissioner’s Office) genom hänvisning och står att läsa här: xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx- protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and- guidance/.
9.1.3. I fråga om personuppgifter som omfattas av det schweiziska databehandlingstillägget gäller de standardavtalsbestämmelser som det hänvisas till i punkt 9.1.1 ovan med följande modifieringar: i) Hänvisningar till ”förordning (EU) 2016/679) ska tolkas som hänvisningar till det schweiziska databehandlingstillägget. ii) Hänvisningar till ”EU”, ”unionen” och ”medlemsstaters lagstiftning” ska tolkas som hänvisningar till schweizisk lag. iii) Hänvisningar till ”behörig tillsynsmyndighet” och ”behöriga domstolar” ska ersättas med ”Schweiz federala dataskydds- och informationskommissionär” och ”tillämpliga domstolar i Schweiz”.
9.2 Alternativa mekanismer för dataöverföring. Parterna är införstådda med att lagar, regler och förordningar som rör internationella dataöverföringar är stadda i snabb förändring. I händelse av att den personuppgiftsansvarige inför en annan mekanism som tillåts enligt tillämpliga lagar, regler eller förordningar för överföring av personuppgifter (var och en ”alternativ mekanism för dataöverföring”) är parterna eniga om att samarbeta i god tro för att genomföra de ändringar av detta avtal som är nödvändiga för införandet av den alternativa mekanismen för dataöverföring.
10. ÖVRIGA VILLKOR
10.1 Ändringar. Detta databehandlingstillägg får inte ändras eller tillägg till det göras, ej heller dess villkor bli föremål för ett rättighetsavståenden eller modifieras på annat sätt, utan att detta sker skriftligen och vederbörligen ingås av behöriga representanter för båda parter.
10.2 Jurisdiktion. Detta databehandlingstillägg ska vara underkastad den jurisdiktion som anges i avtalet.
HÄRMED INTYGAS att parterna häri har ingått detta avtal på ikraftträdandedatumet.
PERSONUPPGIFTSANSVARIG: IVANTI
Underskrift: Underskrift:
Namn: Namn:
Befattning: Befattning:
Datum: Datum:
Tillägg 1: Beskrivning av behandlingen
TILLÄGG 1
Beskrivning av behandlingen
Kontaktinformation till Ivanti:
Ivanti
00000 Xxxxx Xxxxxx Xxxxxxx Xxxxx 000
South Jordan, Utah 84095, USA
Kontaktinformation till dataskyddsombud: xxxxxxx@xxxxxx.xxx
Syfte
Syfte med behandlingen:
Tillhandahållande av licenser för IT-programvara, supporttjänster och implementering, oavsett om det sker på plats eller som en molnlösning (SaaS), för administration och främjande av grundläggande verksamhetsprocesser inom enhetlig slutpunktshantering, IT-tjänstehantering, IT-resurshantering, säkerhet, rapportering och analys samt leveranskedjor.
IT-tjänsterna omfattar användning av programvara installerad på plats eller en molnlösning, inklusive installation av moduler (inklusive, men inte begränsat till, moduler för incident-, förändrings-, resurs-, konfigurations- och lanseringshantering); självbetjäning och tjänstekataloger; support och underhåll, inklusive (men inte begränsat till) fjärråtkomst samt korrigeringsfiler, appstyrning, slutpunkts-/mobilsäkerhet och behörighetshantering.
Behandlingsfrekvens:
Fortlöpande.
Varaktighet
Behandlingens varaktighet:
Enligt vad som anges i avtalet.
Omfattning, typ och syfte med behandling
Omfattning, typ och syfte med behandling lyder som följer:
Enligt vad som anges i avtalet.
Registrerade
Behandling av personuppgifter kan omfatta följande kategorier av registrerade:
Kunder och potentiella kunder; anställda; leverantörer; kommersiella representanter; kontaktpersoner; entreprenörer (inklusive bemanningspersonal); frivilliga, tillfälliga anställda och diversearbetare; frilansare, ombud, konsulter och andra professionella respondenter samt deras respektive personer i beroendeställning, förmånstagare och nödkontaktpersoner i nöd- eller akutsituationer; provanställda och vikarier hos kunder; klagande, korrespondenter, och frågeställare; rådgivare, konsulter och andra professionella experter; anställda eller kontaktpersoner hos dataexportörers potentiella kunder, kunder, affärspartner och återförsäljare; affärspartner till och återförsäljare (som är fysiska personer) för dataexporten samt dataexportörens användare som av denne fått tillstånd att använda programvaran och tillhörande tjänster.
Kategorier av personuppgifter
Behandling av personuppgifter kan omfatta följande kategorier av data:
Kunddata som överförts till tjänsterna inom ramen för kundens tjänster och konton.
Tekniska och organisatoriska åtgärder
Nedan beskrivs de tekniska och organisatoriska säkerhetsåtgärder som personuppgiftsbiträdet har infört:
Utbildning i säkerhetsmedvetenhet
Personuppgiftsbiträdet har utbildning i säkerhetsmedvetenhet, vilken omfattar obligatorisk säkerhetsutbildning i hur konfidentiella och känsliga uppgifter – som uppgifter som möjliggör identifiering av personer, bankkontouppgifter och hälsodata i enlighet med tillämplig lag – hanteras och skyddas samt gör regelbundna utskick om säkerhetsmedvetenhet och arrangerar kurser med fokus på slutanvändarnas säkerhetsmedvetenhet.
Säkerhetspolicyer och -rutiner
Personuppgiftsbiträdet har infört informationssäkerhet i form av användnings- och hanteringspolicyer som styr de åtgärder som anställda och entreprenörer vidtar i fråga om vederbörlig användning, åtkomst till och lagring av konfidentiella och känsliga uppgifter; begränsar åtkomst till konfidentiella och känsliga uppgifter till endast de medlemmar av personuppgiftsbiträdets personal som behöver känna till dem; förhindrar att före detta anställda får tillgång till personuppgiftsbiträdets uppgifter efter avslutad anställning samt vidtar disciplinära åtgärder vid underlåtenhet att följa ifrågavarande policyer. Systemåtkomst till personuppgiftsbiträdets resurser nekas såvida inte de specifikt utvärderats och beviljats behörighet. Personuppgiftsbiträdet utför bakgrundskontroller av dess anställda vid tidpunkten för anställning i enlighet med vad som tillåts enligt lag.
Fysiska och miljömässiga tillträdeskontroller
Personuppgiftsbiträdet begränsar det fysiska tillträdet till dess informationssystem och anläggningar med hjälp av fysiska kontroller (t.ex. passerkod) som ger en rimlig försäkring att åtkomsten till dess datacentraler är begränsad till behöriga personer samt använder kamera- eller videobaserade övervakningssystem på kritiska tillträdespunkter internt och externt. Personuppgiftsbiträdet reglerar lufttemperatur och luftfuktighet på dessa datacenter och skyddar mot förlust på grund av strömavbrott.
Logiska åtkomstkontroller
Personuppgiftsbiträdet använder sig av loggnings- och övervakningsteknologi för att underlätta upptäckt av och förhindra obehöriga försök till åtkomst av dess nätverk och produktionssystem. Personuppgiftsbiträdets övervakning omfattar översyner av ändringar som påverkar system för hantering av autentisering, auktorisering och revision samt behörighetsstyrd åtkomst till personuppgiftsbiträdets produktionssystem.
Kryptering
Personuppgiftsbiträdet tillämpar för verksamheten lämplig kryptering för våra produkter. Personuppgiftsbiträdet utvärderar och tillämpar vedertagen branschpraxis för kryptering vid överföring och lagring. Vedertagen praxis används för hanteringen av livscykeln för krypteringsnycklar, inklusive generering, lagring, åtkomstkontroll och rotation.
Hantering av säkerhetsrisker
Personuppgiftsbiträdet utför regelbundet säkerhetsöversyner och åtgärdar sårbarheter i enlighet med den risk de utgör. Personuppgiftsbiträdets produkter underkastas också regelbundna säkerhetsöversyner och intrångstestning.
Katastrofåterställning och säkerhetskopiering
Personuppgiftsbiträdet säkerhetskopierar regelbundet produktionsfilsystem och databaser enligt ett fastställt schema och har en formell plan för katastrofåterställning för produktionens molndatacenter, vilket omfattar regelbunden testning.
Plan för svar på cyberincidenter
Personuppgiftsbiträdet har en plan för har man ska svara på incidenter för att på så sätt hantera och minimera effekterna av oväntade cyberhändelser, vilken omfattar rutiner som ska följas i händelse av ett faktiskt eller potentiellt säkerhetsintrång, till exempel ett internt team incidenthantering med en person som leder dess arbete; ett undersökningsteam som utför grundorsaksanalys och identifierar drabbade parter; interna rapport- och meddelanderutiner; dokumentation av vidtagna åtgärder och åtgärdsplaner samt en översyn av händelser i efterhand.
Säkerhet vid lagring och överföring
Personuppgiftsbiträdet vidtar tekniska säkerhetsåtgärder för att skydda mot obehörig åtkomst av personuppgiftsbiträdets data när de överförs via ett offentligt nätverk för elektrisk kommunikation eller lagras elektroniskt.
Säker kassering
Personuppgiftsbiträdet har policyer och rutiner som rör kassering av fysiska och virtuella enheter som innehåller personuppgiftsbiträdets data så att det inte är praktiskt möjligt att läsa eller rekonstruera dem.
Identifiering och bedömning av risk
Personuppgiftsbiträdet har ett program för riskbedömning för att underlätta rimlig identifiering av förutsägbara interna och externa risker som biträdets IT-resurser är utsatta för samt avgöra om befintliga kontroller, policyer och rutiner som är adekvata för att åtgärda hantera de risker som identifieras.
Återförsäljare och tjänsteleverantörer
Tredjeparts tjänsteleverantörer eller återförsäljare (gemensamt benämnda ”underleverantörer”) med tillgång till personuppgiftsbiträdets konfidentiella uppgifter underkastas riskbedömningar i syfte att fastställa hur utsatta de uppgifter är som personuppgiftsbiträdet delar. Underleverantörerna förväntas efterleva alla tillämpliga avtalsvillkor som rör skyddet av personuppgiftsbiträdets data, så väl som personuppgiftsbiträdets tillämpliga policyer och rutiner. Det kan emellanåt hända att personuppgiftsbiträdet ber en underleverantör att omvärdera sin säkerhetshållning för att på så sätt säkerställa efterlevnad.